Mots de passe, codes, biométrie ? Quelles sont les méthodes d'authentification les plus sécurisées ?

Alors que les attaques informatiques se multiplient, un grand nombre de personnes négligent encore la sécurisation lors de l’authentification. Ainsi, selon une récente étude menée pour IBM, plus d’une personne sur huit affirme réutiliser les mêmes mots de passe et informations d’identification. Environ une sur trois notent leurs informations sur un papier.

Pourtant, la sécurisation de l'authentification est nécessaire pour ne pas laisser passer un intrus. Si aucune méthode ne garantit le risque zéro, il est intéressant de savoir lesquelles sont les plus préconisées selon les usages.

La prime aux mots de passe pour les blogs ou forums

Un mot de passe peut être intéressant pour certains emplois, comme le fait d’accéder à un forum ou à un blog. Attention à prendre certaines précautions dans son élaboration.

Un mot de passe doit faire au moins 12 caractères. Pour le créer, il est également conseillé de choisir une suite de mots n’ayant pas de liens ensemble. Il est préférable de remplacer les lettres par des majuscules, des minuscules, des caractères spéciaux et des chiffres. Pensez aussi que le mot de passe doit être différent pour chacun de vos comptes. Il doit idéalement être changé tous les trois à six mois.

Notons qu’il faut éviter de les conserver au clair si vous n’arrivez pas à les mémoriser. Pour ne pas les dévoiler, notamment lorsque l’authentification a lieu sur un serveur distant, mieux vaut qu’ils soient transformés grâce à une fonction cryptographique irréversible et sûre. Elle intégrera un sel ou une clé.

Les plus des mots de passe longs et complexes

Ce style de mot de passe doit empêcher la réussite d’une attaque « force brute », consistant à trouver un mot de passe en testant successivement un grand nombre de combinaisons possibles. Il doit aussi éviter une « attaque au dictionnaire », un procédé de cryptanalyse qui essaie systématiquement tous les mots d'un dictionnaire donné. Il doit aussi déjouer le « Password Spraying », procédé qui essaie les mots de passes les plus souvent utilisés. Cela constitue en outre normalement un barrage contre le déchiffrement des mots de passe codés extraits d’une base de données par un pirate, le décodage des mots longs et complexes prenant trop de temps.

Notez qu'ExpressVPN, notre partenaire du jour, propose un générateur de mots de passe complexes tout à fait gratuit et approprié pour vous aider dans cette démarche.

Les moins

Ces mots de passe n’empêchent cependant pas d’autres attaques « traditionnelles » comme le phishing, ou via des logiciels malveillants.

Le gestionnaire de mots de passe de plus en plus utilisé sur différentes plateformes

Afin de vous assurer davantage de sécurité, il peut être nécessaire d’utiliser, notamment sur un site important, des gestionnaires de mot de passe. Plus besoin avec ceux-ci de retenir différents mots de passe ou de les gérer sur différentes plateformes. Il suffit de retenir un seul mot de passe, appelé « Mot de passe maitre ». C’est une sorte de grosse clé qui permet d’ouvrir une multitude de petits cadenas. Pour créer un mot de passe fort, vous pouvez utiliser la méthode précédemment décrite.

Vous avez le choix entre le gestionnaires en ligne qui synchronisent les données sensibles, comme le mot de passe ou le numéro de carte bancaire, ou les gestionnaires en ligne qui stockent les mots de passe en local.

Les plus du gestionnaire de mots de passe

Au rayon des avantages, le gestionnaire de mot de passe est bien équipé. La norme AE 256 bits, également utilisée par l’armée, implique 14 tours de substitution, de transposition et de mixage pour un niveau de sécurité très élevé. Le gestionnaire chiffre automatiquement les mots de passe et les bases de données. Une attaque brute force n’a quasiment aucune chance d’aboutir.

Il est aussi impossible pour un fournisseur de connaitre les mots de passe. Le protocole à connaissance zéro crypte ceux-ci avant qu’ils ne quittent votre appareil. Quand ils arrivent sur le serveur de l’entreprise, le fournisseur n’a pas d’outil pour les déchiffrer.

Indiquons que vous pouvez renforcer la sécurité avec différentes options. Certains fournisseurs proposent d’analyser le dark web pour regarder si des informations vous concernant apparaissent en ligne. L’utilisation d’un VPN pour crypter vos données peut aussi être intéressant. Tout comme l’utilisation du hashtag pour brouiller les mots de passe ou un système de notification automatique pour vous avertir quand votre système subit une violation. Notons aussi que vous pouvez utiliser l’authentification à deux facteurs (2FA) ou l’authentification biométrique pour bénéficier d'une couche de sécurité supplémentaire. Mieux vaut aussi choisir un stockage local des mots de passe pour plus de contrôle.

Les moins

Des vulnérabilités et des failles de sécurité ont été observées chez des fournisseurs ces dernières années. Par exemple, récemment, il a été révélé que le générateur de nombres pseudo-aléatoires de Kasperky Password Manager ne produisait pas de mots de passe assez forts, ce qui les exposaient à une attaque force brute. Mais dans la plupart des cas, les problèmes ont été résolus à temps et n’ont pas fait de victimes.

La clé USB de sécurité utile pour accéder aux serveurs

L’utilisation d’une clé U2F peut être judicieuse. Que ce soit pour se rendre sur les réseaux sociaux, sur les sites qui hébergent vos fichiers, sécuriser l’accès à vos propres serveurs ou encore pour accéder à votre banque en ligne.

Celle-ci ressemble à une clé USB « traditionnelle ». Elle est basée sur le standard ouvert appelé U2F, pour Universal Second Factor et soutenu par l’alliance FIDO, pour « Fast IDentity Online ». A l’intérieur de la clé, une puce sécurisée contient une clé chiffrée unique dont vous êtes le seul détenteur.

Les plus de la clé USB de sécurité

Concernant les avantages, le code unique généré par cette clé est impossible à reconnaitre et à intercepter. Elle remplace les mots de passe par une authentification matérielle forte avec la cryptographie à clé privée/publique. De plus, le fait que ce soit un objet physique rend ce type de sécurisation particulièrement pertinent contre l’hameçonnage, au contraire de la méthode 2FA. Vous pouvez par exemple sécuriser l’accès à des sites comme Facebook, WordPress ou Twitter.

Les moins

Malheureusement, si certaines plateformes sont compatibles avec cette clé, d’autres ne le sont pas. La compatibilité dépend surtout des sites qui peuvent modifier leur politique quand ils le veulent. De plus, certains navigateurs ne sont pas compatibles. Egalement, les clés USB utilisés peuvent nécessiter un adaptateur sur certains appareils. Attention aussi à ne pas perdre la clé. Pensez à en placer une de rechange dans un coffre-fort.

La cryptographie asymétrique pour chiffrer les messages

La cryptographie asymétrique, ou cryptographie à clé publique, est une méthode de chiffrement qui utilise deux clés : une clé publique et une clé privée. Elles se ressemblent mathématiquement mais elles ne sont pas identiques. Quand une personne veut envoyer un message chiffré, elle peut extraire la clé publique du destinataire d’un répertoire publique. Cela permet de chiffrer le message avant de l’envoyer. Le destinataire de la communication peut déchiffrer le message à l’aide de la clé privée associée.

De nombreux protocoles se servent de ce procédé, comme le TLS (Transport Layer Security) et la couche de SSL (Secure Sockets Layer), qui permettent le HTTPS (Hypertext Transfer Protocol Secure). La méthode sert pour chiffrer des emails. Des programmes logiciels comme les navigateurs utilisent aussi ce procédé. Cela leur permet de mettre en place une connexion sécurisée sur un réseau non sécurisé comme Internet ou d’homologuer une signature numérique.

Les plus de la cryptographie asymétrique

Un des principaux avantages de ce système est, en plus de chiffrer les messages, d'apporter une sécurité accrue car les utilisateurs ne sont pas obligés de partager leur clé privée. L’expéditeur ne peut en outre pas démentir l’envoi d’un message : l’utilisation de signatures numériques s’active afin qu’un destinataire puisse évaluer si un message provient d’un envoyeur particulier.

Les moins

Le processus est plus lent que celui de la cryptographie symétrique. En outre, il ne s’agit pas de perdre la clé privé. Auquel cas, il devient impossible de décoder les messages. Une clé privée également peut être lue par un pirate.

La biométrie, idéale comme seconde couche de protection

La biométrie repose sur les traits biologiques uniques de l’utilisateur. En très peu de temps, un outil de reconnaissance faciale peut reconnaitre si ces caractéristiques coïncident avec celles gardées dans sa base de données. Ces méthodes sont souvent utilisées pour les smartphones et les ordinateurs portables. Windows Hello face se sert de son côté d’une caméra spécialement mise au point pour l'imagerie proche infrarouge (IR). La reconnaissance du visage permet d’authentifier et de déverrouiller les appareils Windows ainsi que le Microsoft Passport.

Les plus de la biométrie

L’utilisation de la biométrie est intéressante car elle ne nécessite pas de carte, de téléphone portable ou de clé, ni même de se souvenir d’un mot de passe. Elle est aussi relativement sûre tant que les données biométriques sont stockées de manière sécurisées. Autre avantage, les caractéristiques biométriques sont très difficiles à reproduire avec les technologies actuelles.

Les moins

Niveau contrariétés, la base de données peut être piratée. L'apprentissage automatique et les algorithmes doivent être élaborée pour éviter les biais et éviter discriminations et exclusions. Il peut aussi y avoir des faux positifs et des inexactitudes dans l’authentification de l’identité de l’auteur.